RODO, a proces rekrutacji

27.08.2018 Kadry i HR

Nowe obowiązki, które od 25 maja 2018 roku wprowadziło Rozporządzenie o Ochronie Danych Osobowych (RODO) są dużym wyzwaniem dla przedsiębiorców rekrutujących pracowników. Aktualnie, poza formalnościami związanymi ze stworzeniem oferty, pozyskaniem i selekcją CV czy przeprowadzeniem rozmowy z kandydatem – niezwykle ważny stał się aspekt ochrony danych osobowych i to już na wstępnym etapie rekrutacji. Jakie wymogi RODO powinien spełnić przedsiębiorca, aby proces rekrutacji przebiegł zgodnie z przepisami unijnymi?

Treść ogłoszenia i „spływ” aplikacji

 

Oferty pracy z reguły zawierają prośbę skierowaną do kandydatów o zawarcie w dokumentach aplikacyjnych klauzuli ze zgodą na przetwarzanie danych osobowych. Najczęściej jest ona bardzo ogólna i nie określa jednoznacznie czy dotyczy jednego procesu rekrutacji, czy może kandydat chce być informowany w przyszłości o innych propozycjach pracy pasujących do jego kompetencji. Jeśli kandydat nie wyraził zgody na uczestniczenie w kolejnych procesach rekrutacyjnych, to zawarte w CV informacje można wykorzystać tylko na poczet rekrutacji na jedno stanowisko (na to, na które aplikował).

 

Z badania „RODO w rekrutacji” zrealizowanego przez eRecruiter wynika, że tylko 58% kandydatów zamieszcza w swoich CV zgodę na przetwarzanie danych osobowych, a 37% wpisuje ją do CV tylko wtedy, gdy pracodawca przypomina o tym w ogłoszeniu. Niestety, co trzeci aplikujący nie edytuje zgody zamieszonej w swoim CV pod kątem dopasowania wysyłanego dokumentu do różnych pracodawców. Według RODO zgoda powinna odnosić się do określonego administratora danych. W innym przypadku jest niezgodna z przepisami i przez to nie zabezpiecza pracodawców w kontekście nowych regulacji.

Nie istnieje jeden właściwy wzór klauzuli – zgoda może być wyrażona nawet w bardzo prosty sposób.

Przykładowe klauzule CV:

Na podstawie art. 7 ust 1 RODO oświadczam, że wyrażam zgodę na przetwarzanie przez administratora, którym jest _____ (nazwa firmy) w _____ (miasto) moich danych osobowych w celu przeprowadzenia procedury rekrutacji. Powyższa zgoda została wyrażona dobrowolnie zgodnie z art. 4 pkt 11 RODO.

Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę _____
w celu i zakresie niezbędnym w procesie rekrutacyjnym. Wyrażam również zgodę na przechowanie mojej aplikacji i przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji.

Obowiązek informacyjny

 

Jednym z najważniejszych zobowiązań w procesie rekrutacji, które ciąży na pracodawcach,czyli administratorach danych, w wyniku uchwalenia RODO jest spełnienie obowiązku informacyjnego wobec kandydatów. Obowiązek informacyjny należy spełnić wobec wszystkich kandydatów odpowiadających na naszą ofertę. Jeśli kandydat aplikuje do firmy bezpośrednio np. poprzez e-mail – powinien otrzymać w odpowiedzi zwrotnej klauzulę informacyjną. Wygodnym narzędziem w tej sytuacji będzie umieszczenie jej w stopce lub ustawienie „autorespondera” na specjalnie przygotowany pod rekrutacje adres e-mail. Korzystając z zewnętrznych portali (np. OLX, Pracuj.pl) również powinniśmy przesyłać aplikującym klauzulę informacyjną, gdyż to firma oferująca stanowisko jest administratorem danych osobowych. Jeśli kandydat składa nam CV osobiście (odwiedzając siedzibę firmy) powinien otrzymać klauzulę informacyjną w formie pisemnej, podpisać ją oraz przekazać dokumenty w kopercie.

Przykładowa treść klauzuli informacyjnej

Zgodnie z art. 13 Rozporządzenia UE 2016/679 z 27 kwietnia 2018 roku (zwanym dalej RODO) od dnia 25 maja 2018 roku informujemy, że:

  1. Administratorem Pani/Pana danych osobowych jest ________ (pełna nazwa firmy)
    z siedzibą w ____________ (miasto) przy ulicy__________, KRS ____________.
  2. Dane kontaktowe_______________ (e-mail, telefon).
  3. Podanie przez Panią/Pana danych osobowych jest dobrowolne, ale konieczne dla celów związanych z przeprowadzeniem procesu rekrutacji. Przetwarzanie Pani/Pana danych osobowych jest dokonywane (na podstawie art. 6 ust 1 pkt. a RODO, na podstawie zgody, w celu realizacji procesu rekrutacji.
  4. Jeżeli wyrazi Pani/Pan na to dobrowolną zgodę zawartą w klauzuli w dokumentach aplikacyjnych, Pani/Pana dane osobowe będą przetwarzane także w celu prowadzenia przyszłych rekrutacji (podstawa prawna: 222 1 kodeksu pracy w zw. z art. 6 ust. 1 lit. a Rozporządzenia).
  5. Przysługuje Pani/Panu prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia ich przetwarzania, prawo do przenoszenia danych, prawo zgłoszenia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Zgodę można cofnąć w następujący sposób______________ (telefonicznie pod numerem___, osobiście w siedzibie firmy___, e-mailowo na adres__)
  6. Podanie danych osobowych jest dobrowolne, ale konieczne do wzięcia udziału w rekrutacji. Dane osobowe zbierane w celu realizacji procesu rekrutacji będą przetwarzane przez okres________ (proponuję np. 12 miesięcy) licząc od daty ich wpłynięcia. a dane przetwarzane w oparciu o zgodę na przyszłe rekrutacje przez okres______________.
    W razie cofnięcia zgody na przyszłe rekrutacje dane te zostaną niezwłocznie usunięte.
  7. Dane osobowe będą/nie będą przekazywane do państw trzecich.
  8. Podane przez Panią/Pana dane osobowe będą/nie będą również udostępniane takim odbiorcom jak podmioty świadczące usługi hostingowe.
  9. Informuję, iż Pani/Pana dane będą/nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania (jeśli korzystamy z zewnętrznych systemów rekrutacyjnych – będą, jeśli nie korzystamy z takiego wsparcia – nie będą).
  10. Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego właściwego w sprawach ochrony danych osobowych.

Niezależnie od tego w jaki sposób przedsiębiorca przekaże kandydatowi klauzule informacyjną – należy zwrócić uwagę na konieczność zapewnienia rozliczalności. Oznacza to, że pracodawca w przypadku kontroli musi być w stanie wykazać, że zrealizował obowiązek informacyjny wobec kandydatów.

 

Zdarza się, że kandydaci do pracy zgłaszają się do przedsiębiorcy z rekomendacji np. innego pracownika czy znajomego. Do tej pory osoba polecająca po prostu przekazywała CV kandydata zainteresowanego rekrutacją. Po wdrożeniu RODO należy pamiętać, że wobec takiej osoby należy spełnić obowiązek informacyjny (w formie pisemnej lub e-mail), a pracownik lub znajomy, który przekazał nam CV, powinien posiadać na to zgodę.

ważne
Z punktu widzenia RODO nie powinny funkcjonować już rekrutacje ukryte – kandydat musi wiedzieć do jakiej firmy wysyła CV i kto będzie administratorem jego danych osobowych.

Katalog danych osobowych w rekrutacji

 

Dane osobowe, których pracodawca może zażądać od kandydatów do pracy po uchwaleniu RODO obejmuje następujące informacje:

Zdarza się, że kandydaci podają w swoich dokumentach niepotrzebne (szczególnie wrażliwe) informacje np. PESEL, nr dowodu osobistego, informacja o niekaralności, imiona rodziców – w takiej sytuacji firma, jako administrator danych, powinna usunąć te dane i poinformować o tym fakcie kandydata.

Przykładowa wiadomość

Dziękujemy za zainteresowanie ofertą i przesłanie CV, informujemy, że Pana/Pani dane: _____, zostały usunięte, gdyż nie są wymagane z punktu widzenia oferty pracy.

Przetwarzanie danych osobowych

 

W dużych firmach, szczególnie jeśli są wspierane przez dział HR, przetwarzanie danych osobowych to standardowa część pracy. Jednak również w małych i średnich przedsiębiorstwach przy okazji prowadzenia rekrutacji jest to na porządku dziennym – przetwarzaniem danych jest już czytanie CV, listu motywacyjnego itp.

 

Zgodnie z badaniem „RODO w rekrutacji” przeprowadzonym przez eRecruiter, 49% pracodawców przechowuje dokumenty aplikacyjne w przygotowanej na potrzeby rekrutacji skrzynce e-mail. Popularnymi miejscami gromadzenia CV są także foldery na komputerach (22%), a co piąty pracodawca nadal przechowuje dokumenty kandydatów w formie papierowej (20%). Z punktu widzenia RODO, warto zwrócić uwagę na to, aby liczba miejsc przechowywania danych była ograniczona w celu zapewnienia maksymalnego poziomu bezpieczeństwa. Najlepiej rozważyć wybór jednego miejsca, w którym przechowywane będą dane kandydatów do pracy. Szczególnie, jeśli kandydat zażyczy sobie ich usunięcia – wtedy z łatwością spełnimy ten obowiązek. Ponadto, firma musi być przygotowana do bezpiecznego przechowywania danych kandydatów np. poprzez: zabezpieczenia informatyczne, szyfrowane nośniki danych, zamykane na klucz szafy czy archiwa, do których dostęp mają tylko osoby upoważnione.

 

Usuwanie CV

 

Z wyników badań „RODO w rekrutacji” wynika, że 47% kandydatów aplikujących na ofertę pracy (i tym samym wyrażający zgodę na przetwarzanie swoich danych)chciałoby, aby te informacje były usuwane po roku. 9% kandydatów uznało, że pracodawca mógłby wykorzystywać ich dane bez ograniczeń. Jednak niemal połowa badanych oczekuje, że pracodawca skasuje ich dane zaraz po zakończeniu procesu rekrutacji. Pracodawca ma obowiązek określić (w klauzuli informacyjnej) jak długo będzie przechowywał dane osobowe kandydata, szczególnie jeśli wyraził on zgodę na udział w przyszłych procesach rekrutacyjnych. Rozporządzenie nie określa jednak optymalnego czasu. Zwracając uwagę na oczekiwania kandydatów w tym zakresie, ale i aktualność danych w kontekście ich ponownego wykorzystania – zaleca się, aby był to maksymalnie rok.

Pozbycie się dokumentów aplikacyjnych powinno odbyć się za pomocą niszczarki do dokumentów po ustaniu celu, czasu lub zgody, którą firma posiadała z tytułu przetwarzania danych osobowych (np. po skończonej rekrutacji).

 

Kary za nieprzestrzeganie RODO


Naruszenie przepisów RODO może wiązać się z nałożeniem na firmę wysokich kar finansowych – ich wysokość zależy od tego, który przepis został naruszony.

Na karę w wysokości do 10 milionów euro lub w przypadku przedsiębiorstwa do 2% wartości rocznego światowego obrotu są narażeni administratorzy danych, którzy naruszą obowiązki administratora i podmiotu przetwarzającego dane osobowe (np. brak prowadzenia rejestru operacji przetwarzania, brak informowania organu nadzorczego o naruszeniach).

 

Kara w wysokości do 20 milionów euro lub w przypadku przedsiębiorstwa do 4% wartości rocznego światowego obrotu grozi za naruszenie: podstawowych zasad przetwarzania danych osobowych, w tym wyrażenia zgody na przetwarzanie danych osobowych; ich przechowywania i przekazywania; wykonania prawa dostępu przysługującego osobie, której dane dotyczą; wykonania prawa do sprostowania i usuwania danych. Wyższy pułap kary grozi również za niewspółpracowanie z organem nadzorczym (nieprzestrzeganie nakazów, niezapewnienie dostępu do niezbędnych informacji w trakcie kontroli czy niestosowanie się do zaleconych środków naprawczych).

 

Przy ustalaniu wysokości kary, organ nadzorczy będzie brał pod uwagę szereg czynników: czas trwania naruszenia, liczbę „poszkodowanych”, umyślność lub nieumyślność naruszenia, działania podjęte w celu zminimalizowania szkody, charakter naruszenia itp.



Dominika Głowacka

Chcesz uzyskać dostęp do tego materiału?

Zarejestruj lub zaloguj się na portalu zafirmowani.pl i dołącz do społeczności firm!
Będziesz mógł promować swoją firmę i otrzymasz bezpłatny dostęp do:

Aplikacji księgowej online

Kontaktów z ekspertami, artykułów i materiałów video

Bazy edytowalnych dokumentów niezbędnych w firmie

Specjalnych ofert i rabatów

Chcesz mieć nieograniczony dostęp do wszystkich materiałów i funkcjonalności naszego portalu Zafirmowani.pl?

Załóż rachunek w Alior Banku i korzystaj ze wszystkich możliwości portalu!

Strona korzysta z plików cookie. Pozostając na tej stronie, wyrażasz zgodę na korzystanie z nich. Zapoznaj się z polityką prywatności